Toda empresa, independentemente de tamanho, deve ter políticas documentadas — isso é especialmente verdade quando falamos da política de segurança da informação. Sua organização pode ter tecnologias e procedimentos no lugar para lidar com a segurança, mas sem um registro claro de quais são eles, seus funcionários podem acabar perdidos sobre os passos certos a tomar para garantir a máxima proteção.
Políticas de segurança eficazes são a base de toda a abordagem de segurança de sua organização. Essas políticas devem refletir sua cultura corporativa e estar em harmonia com suas práticas comerciais demonstradas. As políticas de segurança são um componente vivo de qualquer organização de sucesso. Mas, como tal, elas requerem planejamento cuidadoso, desenvolvimento e atenção contínua para serem do maior valor para sua organização.
Mas como desenvolver a sua? Abaixo, separamos as principais dicas e informações que você precisa para construir uma política de segurança da informação eficaz para a sua empresa. Acompanhe!
O que é a política de segurança da informação?
Uma política de segurança da informação é um documento que explica os procedimentos projetados para proteger os recursos e ativos físicos e de tecnologia da informação de uma empresa. Ela fornece aos funcionários instruções claras sobre o uso aceitável das informações confidenciais da empresa, explica como a empresa protege os recursos de dados e o que espera das pessoas que trabalham com essas informações.
Existem duas partes em qualquer política de segurança. Um trata da prevenção de ameaças externas para manter a integridade da rede. A outra trata da redução dos riscos internos, definindo o uso apropriado dos recursos da rede.
O tratamento de ameaças externas é orientado para a tecnologia. Embora existam muitas tecnologias disponíveis para reduzir ameaças externas à rede — firewalls, software antivírus, sistemas de detecção de intrusão, filtros de e-mail e outros — esses recursos são implementados principalmente pela equipe de TI e não são detectados pelo usuário.
No entanto, o uso adequado da rede dentro de uma empresa é uma questão de gerenciamento. A implementação de uma política de uso aceitável, que por definição regula o comportamento dos funcionários, requer tato e diplomacia. No mínimo, ter tal política pode proteger você e sua empresa de responsabilidades se você puder mostrar que quaisquer atividades inadequadas foram realizadas em violação a essa política.
Mais provavelmente, no entanto, uma política lógica e bem definida reduzirá o consumo de largura de banda, maximizará a produtividade da equipe e reduzirá a possibilidade de quaisquer questões legais no futuro.
Por que você precisa de uma política de segurança da informação?
Embora a maioria dos funcionários queira fazer o que é certo e não expor sua empresa a uma ameaça à segurança, eles nem sempre sabem de onde vêm as ameaças e como evitá-las.
Lembre-se de que, embora você possa viver e respirar riscos e problemas de segurança todos os dias, a maioria dos funcionários não o faz. Como eles não são especialistas em segurança, basta um deslize para criar uma grande exposição e, potencialmente, ramificações financeiras.
A criação de uma política de segurança de TI define a expectativa de todos os funcionários e padroniza certos procedimentos para ajudar a reduzir os riscos. Pense desta forma: prevenir um problema é quase sempre mais fácil, rápido e menos custoso do que consertar as consequências.
Quando os funcionários estão cientes das práticas seguras, entendem o porquê por trás das políticas e recebem o treinamento adequado, eles têm maior probabilidade de cumprir os padrões esperados. A política corporativa serve como seu plano de batalha e é apenas uma etapa na criação de uma força de trabalho consciente da segurança dos dados.
Isso ajudará muito na proteção dos recursos e da reputação de sua empresa.
9 dicas para desenvolver uma política de segurança da informação
Antes de dar dicas sobre como desenvolver uma política de segurança da informação, é preciso manter algumas coisas em mente.
Antes de qualquer coisa, sua política deve ser baseada em uma análise de risco a que sua organização está exposta. Essa análise identificará as áreas de preocupação e vulnerabilidades que serão utilizadas para preencher as três partes de uma política efetiva: introdução (propósito), escopo e compliance.
- Introdução: alguns funcionários podem não entender a importância do gerenciamento de informações confidenciais, portanto, uma seção introdutória que explica a finalidade do documento é essencial. Todos os funcionários precisam entender a importância de reduzir erros, reduzir o custo do tempo de inatividade, melhorar o tempo de recuperação e permanecer em conformidade com os regulamentos;
- Escopo: o escopo da política identifica o que precisa ser protegido, onde está e quem é o responsável final. Ele se destina a funcionários, tecnologia, instalações locais e remotas e processos de negócios. Ele pode especificar programas antivírus, metodologia de rotação de senha e quem tem acesso físico aos registros;
- Compliance: as seções de responsabilidade e conformidade da política geralmente se dirigem a indivíduos ou departamentos. Supervisores ou gerentes de departamento podem ser encarregados dessas funções ou podem ser atribuídos a um grupo ou departamento de segurança dedicado.
Agora que você sabe as partes que sua política deve contar, vamos às dicas de como desenvolvê-la! Veja só:
1. Desenvolva políticas que você planeja aplicar
Uma política que você não pode cumprir é inútil. Se a sua política declara que o uso da internet é estritamente limitado para realizar tarefas relacionadas aos negócios, mas você não bloqueia o acesso ao site ou não tem a capacidade de monitorar a atividade de um funcionário na internet, ela será inútil.
Uma abordagem mais razoável pode ser declarar em sua política que o uso pessoal da internet deve ser restrito a intervalos ou horas de almoço ou declarar que o uso da internet é permitido, desde que não interfira na produtividade dos funcionários ou no cumprimento dos prazos.
2. Desenvolva uma política que não exija atualizações frequentes
Se suas políticas exigem atualizações frequentes, provavelmente são muito restritivas ou muito específicas.
Por exemplo, se você tiver uma política de sistema operacional de desktop que afirma que “Todos os desktops serão implantados com um sistema operacional Windows NT 4.0”, você terá que atualizar a política conforme novos sistemas operacionais forem lançados, como Windows 2000 e Windows XP, e os mais velhos ficam indisponíveis. Neste exemplo, uma política que afirma: “Todos os desktops serão implantados com um sistema operacional seguro e padrão da empresa” permitiria mais flexibilidade.
3. Diferencie políticas de padrões ou recomendações
Suas políticas devem ser abrangentes e completas, mas não tão específicas ou detalhadas que o resultado final seja um conjunto de melhores práticas ou recomendações em vez de políticas. Comece com uma declaração de política de alto nível e, em seguida, analise as especificações mais exatas usando padrões e formas recomendadas de conformidade com a política.
Por exemplo, você pode ter uma política que declara: “Todas as transmissões de dados enviadas por uma rede aberta devem ser criptografadas”. O padrão da sua empresa pode especificar que a criptografia de 128 bits é necessária como um nível mínimo de criptografia. Sua solução de criptografia recomendada pode ser DES triplo ou AES. O principal a ser lembrado é que, conforme os comprimentos mínimos da chave de criptografia mudam ou o algoritmo de criptografia de sua preferência muda, sua política base não precisa mudar.
4. Não desenvolva suas políticas sozinho
Como suas políticas de segurança se aplicarão a todos os funcionários da empresa, é uma boa ideia incluir funcionários de outros departamentos em seu desenvolvimento. Inclua pelo menos um representante de cada unidade de negócios em seus esforços de desenvolvimento de políticas. No mínimo, inclua uma seção transversal de outros funcionários no processo de revisão da política. Esses indivíduos podem pensar em algo que você não incluiu e fornecer feedback sobre se a política é ou não fácil de entender.
5. Disponibilize suas políticas de segurança para todos
Você pode ter as melhores políticas já escritas, mas se seus funcionários nunca as veem ou não sabem onde encontrá-las, elas nunca serão eficazes. Além disso, se eles apenas os virem na orientação para novos contratados, não espere que se lembrem e sigam os mesmos. A distribuição de políticas pode ser realizada de várias maneiras. Algumas ferramentas de software permitem que você publique políticas na intranet de sua empresa.
Você sempre pode colocar uma cópia somente leitura de suas políticas em sua rede em um diretório acessível publicamente. Uma cópia impressa completa das políticas pode ser distribuída conforme orientação do funcionário e redistribuída periodicamente.
6. Certifique-se de que suas políticas permaneçam atualizadas
Embora seja verdade que as políticas devam ser desenvolvidas de uma forma que não devam ser constantemente atualizadas, elas não podem durar para sempre sem algumas modificações. Planeje revisar suas políticas anualmente e realmente agende a revisão. Um bom momento para conduzir essa revisão pode ser no final ou no início do seu ano fiscal.
7. Certifique-se de que suas políticas sejam compreendidas
Desenvolva políticas que sejam diretas e não muito complicadas. Se os funcionários não conseguem entender o que a política exige, não se pode esperar que eles os sigam. Uma política muito longa ou complexa provavelmente nunca será lida (em sua totalidade) e certamente não será seguida.
Algumas ferramentas de software permitem que você inclua questionários simples com suas políticas para testar a compreensão de um funcionário sobre a mesma. Revise suas políticas de segurança com os novos funcionários na orientação e incentive-os a fazer perguntas sobre qualquer coisa que não esteja completamente clara.
8. Exija o reconhecimento de suas políticas
Sempre, sempre, sempre inclua uma declaração de reconhecimento com suas políticas e exija que os funcionários a assinem. A declaração de reconhecimento deve especificar que o funcionário recebeu uma cópia das políticas, que leu as políticas e que concorda em cumpri-las.
Certifique-se de que este formulário de confirmação assinado seja mantido no arquivo do funcionário e que possa ser recuperado, se necessário. Além disso, certifique-se de que todos na organização assinaram um formulário de reconhecimento. Nenhum funcionário, independentemente de sua posição, deve ser excluído de seguir as políticas.
9. Certifique-se de que seu departamento jurídico esteja envolvido
Visto que suas políticas de segurança são extremamente importantes para proteger sua organização e uma vez que o não cumprimento das políticas pode causar sérios danos à empresa e perda de emprego para o funcionário, certifique-se de obter a revisão e aprovação de todas as políticas do departamento jurídico. A falha em obter essa aprovação pode resultar na criação de questões legais para a empresa.
Conclusão
A segurança é uma questão muito delicada e deve ser tratada dessa forma. Ter uma política de segurança, protegê-la e ajudar todos os membros da equipe a compreender essa política permite à sua empresa proteger seus ativos mais valiosos: os dados.
As políticas de segurança da informação funcionam melhor quando são sucintas e diretas. Elas também devem apoiar e ser orientadas pelas necessidades de negócios. Seguindo as dicas acima, você deverá ser capaz de montar uma política eficiente e respeitada em sua organização.
Gostou do nosso artigo? Quer continuar aprendendo sobre como melhorar a segurança da informação da sua empresa? Siga a BHS nas suas redes sociais e fique de olho em todas as nossas dicas!